CYBER SECURITY ANALYST : Penerapan ISO 27001 di Indonesia

ISO 27001

    ISO 27001 merupakan standar internasional yang berisi persyaratan dan spesifikasi untuk penerapan sistem manajemen keamanan informasi. Standar ini diterbitkan oleh International Organization for Standardization (ISO) pada tahun 2005 yang kemudian diperbarui dan dirilis ulang pada September 2013 dengan nama ISO / IEC 27001: 2013.

Secara umum, ISO 27001 berisi panduan terkait Information Security Management System (ISMS) yang meliputi kebijakan, prosedur, ataupun kontrol lainnya, dalam upaya mengelola dan mengendalikan risiko keamanan data.

    Dengan adanya standar ini, Anda akan lebih paham terkait persiapan, penetapan, implementasi, pemantauan, pemeliharaan dan peningkatan sistem manajemen keamanan sesuai dengan kondisi serta kebutuhan perusahaan.

    Hal ini mengingat persyaratan dan spesifikasi yang ada pada ISO 27001 masih bersifat general atau umum, sehingga bisa diterapkan untuk semua jenis organisasi.

Entah itu organisasi besar atau kecil, laba atau nirlaba, serta milik negara ataupun swasta. Semua jenis organisasi bisa menerapkan dan menyesuaikannya dengan kondisi serta kebutuhan masing-masing.


Yang penting, dalam implementasinya, terdapat 14 klausa yang harus diperhatikan, yaitu;

    • Kebijakan Keamanan Informasi
    • Keamanan Informasi Organisasi
    • Keamanan sumber daya manusia
    • Pengelolaan Aset
    • Akses Kontrol
    • Cryptographic
    • Keamanan Fisik dan lingkungan
    • Operasi keamanan
    • Komunikasi Keamanan
    • Akuisisi sistem, pengembangan, dan pemeliharaan
    • Supplier Relationship
    • Manajemen Insiden Keamanan Informasi
    • Aspek Keamanan Informasi of Business Continuity Management 
    • Kepatuhan

    Faktanya, pengelolaan keamanan informasi ini terbilang sangat penting karena akan berpengaruh terhadap kredibilitas perusahaan. Bagaimana tidak, jika misal terjadi gangguan keamanan, seperti kebocoran atau pencurian data, tentu ini akan sangat merugikan, baik dalam pencapaian target ekonomi ataupun manajemen perusahaan.

Sebaliknya, jika data dan informasi aman, kondisi internal ataupun eksternal perusahaan pun akan terkendali. Bahkan, dengan adanya sertifikasi ISO ini akan menjadi penanda atau indikator bahwa perusahaan telah memiliki sistem manajemen keamanan informasi yang baik.

Hingga nantinya, juga akan berefek pada citra perusahaan yang positif dan tepercaya. Entah itu di mata konsumen ataupun stakeholder lain, seperti klien atau investor.

Penerapan atau Implementasi ISO 27001

    Dalam proses implementasinya, ISO 27001 tentu harus didukung oleh kemampuan sumber daya manusia dan ketersediaan sarana teknologi. Tak hanya itu, juga diperlukan kerja sama dari berbagai pihak di internal perusahaan untuk bertanggung jawab terhadap penerapan spesifikasi yang ada.

    Di antaranya mencakup tanggung jawab manajemen, perbaikan berkelanjutan, dokumentasi, audit sistem informasi, dan tindakan korektif.


Secara lebih detail, penerapan ISMS akan melibatkan beberapa hal pokok, yaitu;


    • Ruang lingkup dari proyek kerja organisasi/perusahaan
    • Melakukan proses identifikasi terhadap pihak yang berkepentingan, termasuk juga terkait peraturan, syarat hukum, dan kontrak.
    • Komitmen penyusunan anggaran dalam sistem manajemen keamanan informasi
    • Melakukan review, evaluasi, dan kontrol
    • Melakukan penilaian atas risiko keamanan
    • Mengembangkan kompetensi atau kemampuan internal dalam pengelolaan proyek
    • Melakukan dokumentasi pada setiap kegiatan
    • Mengadakan pelatihan bagi para staf untuk meningkatkan kemampuan dan keterampilan mereka
    • Melaporkan hal-hal yang berhubungan dengan statement of applicability beserta cara penanggulangan risiko keamanan
    • Melakukan pengukuran, pemantauan, serta peninjauan secara berkala dan berkelanjutan, untuk kemudian dilakukan proses audit
    • Siap sedia untuk melakukan tindakan preventif dan korektif

Selain beberapa hal pokok tersebut, penerapan ISO 27001: 2013 juga bisa dipadukan dengan standar lain, seperti:

    • ISO 27003 tentang pedoman implementasi sistem manajemen keamanan informasi
    • ISO 27004 tentang pengukuran ISMS menggunakan matriks untuk meningkatkan efektivitasnya
    • ISO 27005 tentang standar manajemen risiko keamanan informasi yang diterbitkan pada tahun 2008
    • ISO 27006 yang berisi panduan proses registrasi untuk sertifikasi ISMS oleh badan yang terakreditasi
    • ISO 27007 tentang pedoman audit sistem manajemen keamanan informasi

Mengapa ISO 27001 Perlu Diterapkan pada Perusahaan

    Ada beberapa alasan mengapa ISO 27001 perlu diterapkan pada perusahaan, terlepas apa pun jenis, sifat, dan ukuran dari badan usaha tersebut. Berikut beberapa di antaranya:

    1. Penerapan ISMS sebagai bentuk komitmen perusahaan terhadap pentingnya kerahasiaan         data.

    2. Sebagai upaya untuk mengurangi kemungkinan terjadinya pelanggaran keamanan di 

        bidang teknologi informasi dan komunikasi.

    3. Sebagai upaya untuk meminimalisasi risiko dan konsekuensi yang pada akhirnya bisa                berdampak pada besarnya biaya ketika terjadi masalah atau ancaman keamanan                    informasi.

    4. Penerapan ISO 27001 dapat membantu perusahaan mendeteksi dini bagian-bagian yang         berpotensi menyebabkan terjadinya kebocoran/hilangnya informasi dan data.

    5. Adanya standar ISO 27001 akan memberikan panduan terkait perancangan dan                        pelaksanaan ISMS, sehingga implementasinya akan lebih sistematis, terencana, serta                terukur.

    6. ISO 27001 juga berfungsi sebagai kontrol sehingga perusahaan akan terbantu dalam                proses pengelolaan manajemen keamanan dan budaya kerja.

    7. ISO 27001 merupakan standar yang diakui secara global dan dapat diintegrasikan dengan         sistem manajemen lain, seperti ISO 9000, ISO 20000, ISO 14000, dan masih banyak lagi.            Tentunya ini akan bermanfaat untuk terciptanya tata kelola perusahaan yang lebih baik.

    8. Dengan memiliki sertifikat ISO 27001 menunjukkan bahwa perusahaan telah mematuhi            peraturan hukum dan perundang-undangan yang berlaku di Indonesia, khususnya                    Undang-Undang ITE dan Permenkominfo No.4 tahun 2006 tentang sistem manajemen            pengamanan informasi.

    9. Sertifikasi ISO 27001 bisa menjadi penanda atau indikator bahwa perusahaan telah                    memiliki sistem manajemen keamanan informasi yang baik. Dengan begitu, secara tidak         langsung ini juga dapat meningkatkan kepercayaan dari calon konsumen ataupun pihak         ketiga dan stakeholder terkait.

    10. Memiliki sertifikat ISO 27001 akan menjadi nilai tambah bagi perusahaan yang nantinya           bisa berdampak pada citra positif badan usaha tersebut.

          Itulah beberapa alasan mengapa ISO 27001 tentang sistem manajemen keamanan                  informasi sangat penting untuk diterapkan oleh perusahaan. Meski memang, dalam                  prosesnya, membangun sebuah sistem manajemen bukanlah perkara mudah.

    

        Namun, Anda tak perlu khawatir, karena kini ada Mutu Institute yang bisa membantu perusahaan dalam pencanangan dan penerapan standar ini. Bersama Mutu Institute, Anda akan dibantu oleh ahli-ahli berpengalaman, sehingga bisa dipastikan proses penerapan ISO 27001 akan lebih mudah dan terencana.

Komentar

Posting Komentar

Postingan populer dari blog ini

Rangkuman mentoring tanggal 15-10-2022

Gambar
Security and Threat  Intelligent Security Intelligent Proses di mana data dihasilkan dalam penggunaan berkelanjutan dari sistem informasi, dan data itu akan dikumpulkan,  diproses, dianalisis, dan disebarluaskan untuk memberi kita wawasan tentang status keamanan sistem tersebut. Cyber Threat Intelligent Proses penyelidikan, pengumpulan, analisis, dan penyebaran informasi tentang ancaman yang muncul dan sumber ancaman untuk menyediakan data tentang lanskap ancaman eksternal. Cyber Threat Intelligent •Native Report  •Data Feeds Jangan gunakan salah 1 Narative Report dan Data Feeds, tapi gunakan kedua data ini. Threat Intelligent Report      Kebanyakan di release oleh perusahaan seperti McAfee, FireEye, Kaspersky, dll. Intelligent Cycle      Security Intellegence = Proses Planning & Direction Fase dimana kita mengumpulkan set dari tujuan untuk pengumpulan data Collection (& Processing) Collection proccess adalah implementasi dari tools p...
Baca selengkapnya